Netrepser, une menace construite à partir de multiples outils légitimes

Tout a commencé en mai 2016, alors que les équipes de Bitdefender entraînaient leurs algorithmes d’apprentissage automatique : « certains fichiers étaient marqués comme malveillants alors que nous les connaissions pour propres. Alors nous avons commencé à enquêter sur ces fichiers », explique Bogdan Botezatu, analyste senior Bitdefender. Il s’est avéré qu’ils étaient packagés avec un algorithme de chiffrement très personnalisé, retrouvé par la suite dans plusieurs échantillons sur lesquels se sont alors penchées les équipes de l’éditeur. « Nous nous sommes aperçus qu’ils recevaient des tâches de serveurs de commande et de contrôle ».

La plupart de ces tâches visaient à sonder l’infrastructure visée, à collecter des listes de fichiers, mots de passe, cookies, etc. : « il s’agissait de reconnaissance et d’extraction de données ». Quelques 500 adresses IP étaient visées, « toutes correspondant à des organisations gouvernementales ». Celles-ci avaient initialement fait l’objet de hameçonnage ciblé, avec un fichier bureautique joint au courrier électronique : des macros étaient utilisées pour lancer le téléchargement du logiciel malveillant, écrit en JavaScript.

Mais ce dernier, baptisé Netrepser, ne manque pas d’une originalité certaine : « tous les composants de collecte de données sont des logiciels gratuits, parfaitement légitimes, auxquels le logiciel malveillant demande de faire le boulot à sa place », explique Bogdan Botezatu. Et de souligner qu’il s’agit là « d’une approche très originale : les menaces avancées persistantes sont très sophistiquées, construites à partir de zéro, et hautement personnalisées ». Et cette stratégie ne fait que rendre la tâche des fournisseurs de solutions de sécurité encore plus difficile : « si l’on ne détecte pas le fichier JavaScript initial, on est incapable d’intercepter les outils légitimes » utilisés par ailleurs.

En outre, relève Bogdan Botezatu, cette approche « abaisse le coût » associé à la mise en œuvre d’opérations ciblées sophistiquées, alors que, jusqu’ici, « c’était quelque chose que seuls les états-nations pouvaient s’offrir ; il est compliqué et onéreux de construire des outils ciblés ».

Enfin, l’attribution, qui n’est jamais simple dans ce domaine, se trouve là complexifiée : par exemple « tous les artefacts cachés dans le code de logiciels d’APT28 nous laissent à penser qu’il a été écrit quelque part à Moscou. » Et là même si le risque de copieurs n’est pas exclu. Mais, « lorsqu’un état nation lance une attaque en s’appuyant sur des outils présents sur le marché depuis longtemps, il est impossible de trouver quoique ce soit qui supporte l’attribution ».

D’ailleurs, Bitdefender, dans son rapport d’analyse de Netrepser, se garde bien de l’attribuer même à quelque groupe que ce soit : « ce serait hautement spéculatif. Nous ne pouvons pas savoir qui se cache là ; ils n’ont tout simplement pas laissé suffisamment de traces ». Seul point faible : les serveurs de commande et de contrôle. Mais Bogdan Botezatu ne se fait pas là trop d’illusion. Pour lui, l’opération est trop sophistiquée pour envisager que les attaquants n’aient pris la peine de les protéger considérablement.